5 open-source လုံခြုံရေးဖြစ်ရပ်စီမံခန့်ခွဲမှုစနစ်များ

အိုင်တီလုံခြုံရေး အထူးကျွမ်းကျင်သူကောင်းတစ်ဦးသည် သာမန်လူတစ်ဦးနှင့် မည်သို့ကွာခြားသနည်း။ မဟုတ်ဘူး၊ မန်နေဂျာ Igor မနေ့က သူ့လုပ်ဖော်ကိုင်ဖက် မာရီယာဆီ မနေ့က ပေးပို့လိုက်တဲ့ မက်ဆေ့ချ် အရေအတွက်ကို သတ်မှတ်ထားတဲ့ အချိန်မှာပဲ မှတ်မိနိုင်ပါတယ်။ လုံခြုံရေး အထူးကျွမ်းကျင်သူကောင်းတစ်ဦးသည် ဖြစ်နိုင်ချေရှိသော ချိုးဖောက်မှုများကို ကြိုတင်ဖော်ထုတ်ပြီး ၎င်းတို့ကို အချိန်နှင့်တပြေးညီ ဖမ်းရန် ကြိုးစားကာ အဖြစ်အပျက် ဆက်လက်မဖြစ်ပွားစေရန် အစွမ်းကုန်ကြိုးစားသည်။ လုံခြုံရေးဖြစ်ရပ်စီမံခန့်ခွဲမှုစနစ်များ (SIEM၊ လုံခြုံရေးအချက်အလက်နှင့် ဖြစ်ရပ်စီမံခန့်ခွဲမှုမှ) သည် ကြိုးစားထားသောချိုးဖောက်မှုများကို လျင်မြန်စွာမှတ်တမ်းတင်ခြင်းနှင့် ပိတ်ဆို့ခြင်း၏လုပ်ငန်းတာဝန်ကို အလွန်ရိုးရှင်းစေသည်။

အစဉ်အလာအားဖြင့် SIEM စနစ်များသည် သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ်နှင့် လုံခြုံရေးဖြစ်ရပ်စီမံခန့်ခွဲမှုစနစ်တို့ကို ပေါင်းစပ်ထားသည်။ စနစ်များ၏ အရေးကြီးသော အင်္ဂါရပ်မှာ ရှိပြီးသား ပျက်စီးမှုများ မဖြစ်ပေါ်မီ ၎င်းတို့အား တုံ့ပြန်ရန် ခွင့်ပြုသည့် အချိန်နှင့် တပြေးညီ လုံခြုံရေး ဖြစ်ရပ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း ဖြစ်သည်။

SIEM စနစ်များ၏ အဓိကတာဝန်များ-

• ဒေတာစုဆောင်းခြင်းနှင့် ပုံမှန်ပြုလုပ်ခြင်း။
• ဒေတာဆက်စပ်မှု
• သတိပေး
• စိတ်ကူးပုံဖော်ကွက်များ
• ဒေတာသိုလှောင်မှုအဖွဲ့အစည်း
• ဒေတာရှာဖွေခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်း။
• သတင်းပို့ခြင်း

SIEM စနစ်များ ဝယ်လိုအား မြင့်မားရခြင်း အကြောင်းအရင်း

မကြာသေးမီက သတင်းအချက်အလက်စနစ်များအပေါ် တိုက်ခိုက်မှုများ၏ ရှုပ်ထွေးမှုနှင့် ပေါင်းစပ်ညှိနှိုင်းမှုများသည် အလွန်တိုးမြင့်လာခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ အသုံးပြုထားသော သတင်းအချက်အလက်လုံခြုံရေးကိရိယာများ၏ ရှုပ်ထွေးမှုသည် ပိုမိုရှုပ်ထွေးလာသည်—ကွန်ရက်နှင့် host-based intrusion detection systems, DLP systems, anti-virus systems and firewalls, vulnerability scanners စသည်တို့ဖြစ်သည်။ လုံခြုံရေးကိရိယာတစ်ခုစီသည် မတူညီသောအသေးစိတ်အဆင့်များဖြင့် အဖြစ်အပျက်များကို ထုတ်လွှင့်ပေးကာ မကြာခဏဆိုသလို စနစ်အမျိုးမျိုးမှ ထပ်နေသည့်ဖြစ်ရပ်များကိုသာ မကြာခဏဆိုသလို တိုက်ခိုက်မှုတစ်ခုအား မြင်တွေ့နိုင်သည်။

စီးပွားဖြစ် SIEM စနစ် အမျိုးမျိုးအကြောင်း အများကြီးရှိပါတယ်။ ရေးသားခဲ့သည်သို့သော် ကျွန်ုပ်တို့သည် အသုံးပြုသူအရေအတွက် သို့မဟုတ် လက်ခံသိမ်းဆည်းထားသည့်ဒေတာပမာဏအပေါ် အတုအယောင်ကန့်သတ်ချက်များမရှိသော အခမဲ့၊ ပြည့်စုံသော open source SIEM စနစ်များ၏ အကျဉ်းချုပ်ကို ပေးဆောင်ထားပြီး အလွယ်တကူ အရွယ်အစားနှင့် ပံ့ပိုးပေးပါသည်။ ၎င်းသည် ထိုသို့သောစနစ်များ၏ အလားအလာများကို အကဲဖြတ်ရန် ကူညီပေးမည်ဖြစ်ပြီး ထိုသို့သောဖြေရှင်းနည်းများသည် ကုမ္ပဏီ၏လုပ်ငန်းလုပ်ငန်းစဉ်များတွင် ပေါင်းစည်းရန်ထိုက်တန်မှုရှိမရှိ ဆုံးဖြတ်နိုင်လိမ့်မည်ဟု ကျွန်ုပ်တို့မျှော်လင့်ပါသည်။

AlienVault OSSIM

AlienVault OSSIM သည် ထိပ်တန်းစီးပွားရေး SIEM စနစ်များထဲမှ တစ်ခုဖြစ်သည့် AlienVault USM ၏ open-source ဗားရှင်းတစ်ခုဖြစ်သည်။ OSSIM သည် Snort ကွန်ရက် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းစနစ်၊ Nagios ကွန်ရက်နှင့် လက်ခံစောင့်ကြည့်ရေးစနစ်၊ OSSEC host-based ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းမှုစနစ်၊ နှင့် OpenVAS အားနည်းချက်စကင်နာတို့ အပါအဝင် open source ပရောဂျက်များစွာ ပါဝင်သည့် မူဘောင်တစ်ခု ဖြစ်သည်။

စက်ပစ္စည်းများကို စောင့်ကြည့်ရန်အတွက် AlienVault Agent သည် host မှ မှတ်တမ်းများကို syslog ဖော်မတ်ဖြင့် GELF ပလပ်ဖောင်းသို့ ပေးပို့ပေးသည်၊ သို့မဟုတ် Cloudflare ဝဘ်ဆိုက်ပြောင်းပြန်ပရောက်စီဝန်ဆောင်မှု သို့မဟုတ် Okta multi ကဲ့သို့သော ပြင်ပဝန်ဆောင်မှုများနှင့် ပေါင်းစည်းရန်အတွက် ပလပ်အင်ကို အသုံးပြုနိုင်ပါသည်။ -factor စစ်မှန်ကြောင်းအထောက်အထားစနစ်။

USM ဗားရှင်းသည် မှတ်တမ်းစီမံခန့်ခွဲမှု၊ cloud အခြေခံအဆောက်အဦ စောင့်ကြည့်ခြင်း၊ အလိုအလျောက်စနစ်နှင့် အပ်ဒိတ်လုပ်ထားသော ခြိမ်းခြောက်မှုဆိုင်ရာ အချက်အလက်များနှင့် အမြင်အာရုံအတွက် ပိုမိုကောင်းမွန်သော လုပ်ဆောင်နိုင်စွမ်းရှိသည့် OSSIM နှင့် ကွဲပြားသည်။

အားသာချက်များ

• သက်သေပြထားသော open-source ပရောဂျက်များပေါ်တွင် တည်ဆောက်ထားသည်။
• သုံးစွဲသူများနှင့် developer များ၏ ကြီးမားသောအသိုင်းအဝိုင်း။

ချို့ယွင်းချက်

• cloud ပလပ်ဖောင်းများကို စောင့်ကြည့်ခြင်း (ဥပမာ၊ AWS သို့မဟုတ် Azure);
• မှတ်တမ်းစီမံခန့်ခွဲမှု၊ အမြင်အာရုံပုံဖော်မှု၊ အလိုအလျောက်စနစ် သို့မဟုတ် ပြင်ပကုမ္ပဏီဝန်ဆောင်မှုများနှင့် ပေါင်းစည်းခြင်း မရှိပါ။

အရင်းအမြစ်

MozDef (Mozilla Defense Platform)

MozDef SIEM စနစ်အား Mozilla မှထုတ်လုပ်သော လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များ လုပ်ဆောင်ခြင်း လုပ်ငန်းစဉ်များကို အလိုအလျောက်လုပ်ဆောင်ရန် အသုံးပြုပါသည်။ ဝန်ဆောင်မှုတစ်ခုစီသည် Docker ကွန်တိန်နာအတွင်း လုပ်ဆောင်သည့် microservice ဗိသုကာဖြင့် အမြင့်ဆုံးစွမ်းဆောင်ရည်၊ အတိုင်းအတာနှင့် အမှားအယွင်းများကို ခံနိုင်ရည်ရှိစေရန် အခြေခံမှစ၍ စနစ်အား ဒီဇိုင်းထုတ်ထားသည်။

OSSIM ကဲ့သို့ပင်၊ MozDef သည် Elasticsearch မှတ်တမ်း အညွှန်းကိန်းနှင့် ရှာဖွေမှု module၊ လိုက်လျောညီထွေရှိသော ဝဘ်အင်တာဖေ့စ်ကိုတည်ဆောက်ရန်အတွက် Meteor ပလပ်ဖောင်းနှင့် အမြင်အာရုံပုံဖော်ခြင်းအတွက် Kibana ပလပ်အင်တို့အပါအဝင် အချိန်-စမ်းသပ်ထားသော open source ပရောဂျက်များတွင် တည်ဆောက်ထားသည်။

Python ကို အသုံးပြု၍ သင့်ကိုယ်ပိုင် အဖြစ်အပျက် လုပ်ဆောင်ခြင်းနှင့် သတိပေးခြင်း စည်းမျဉ်းများကို ရေးသားနိုင်စေသည့် Elasticsearch queries များကို အသုံးပြု၍ အဖြစ်အပျက်ဆက်စပ်မှုနှင့် သတိပေးချက်တို့ကို လုပ်ဆောင်ပါသည်။ Mozilla ၏အဆိုအရ MozDef သည်တစ်နေ့လျှင်ဖြစ်ရပ်ပေါင်း သန်း 300 ကျော်ကိုလုပ်ဆောင်နိုင်သည်။ MozDef သည် JSON ဖော်မတ်တွင် ဖြစ်ရပ်များကိုသာ လက်ခံသော်လည်း ပြင်ပကုမ္ပဏီဝန်ဆောင်မှုများနှင့် ပေါင်းစပ်မှုရှိပါသည်။

အားသာချက်များ

• အေးဂျင့်များကို အသုံးမပြုပါ - စံ JSON မှတ်တမ်းများနှင့် အလုပ်လုပ်သည်။
• မိုက်ခရိုဆားဗစ်ဗိသုကာကြောင့် လွယ်ကူစွာ ချိန်ညှိနိုင်သည်။
• AWS CloudTrail နှင့် GuardDuty အပါအဝင် cloud ဝန်ဆောင်မှုဒေတာအရင်းအမြစ်များကို ပံ့ပိုးပေးသည်။

ချို့ယွင်းချက်

• အသစ်နှင့် နည်းသော စနစ်။

အရင်းအမြစ်

Wazuh

Wazuh သည် လူကြိုက်အများဆုံး open source SIEMs များထဲမှ တစ်ခုဖြစ်သည့် OSSEC ၏ ခက်ရင်းတစ်ခုအဖြစ် ဖွံ့ဖြိုးတိုးတက်မှုကို စတင်ခဲ့သည်။ ယခု၎င်းသည် လုပ်ဆောင်ချက်အသစ်များ၊ ချွတ်ယွင်းချက်ပြင်ဆင်မှုများနှင့် အကောင်းဆုံးပြင်ဆင်ထားသော ဗိသုကာလက်ရာများဖြင့် ၎င်း၏ထူးခြားသောဖြေရှင်းချက်ဖြစ်သည်။

စနစ်သည် ElasticStack stack (Elasticsearch, Logstash, Kibana) ပေါ်တွင်တည်ဆောက်ထားပြီး အေးဂျင့်အခြေခံဒေတာစုဆောင်းခြင်းနှင့် စနစ်မှတ်တမ်းထည့်သွင်းခြင်း နှစ်ခုလုံးကို ပံ့ပိုးပေးပါသည်။ ၎င်းသည် မှတ်တမ်းများထုတ်ပေးသည့် စက်ပစ္စည်းများကို စောင့်ကြည့်သော်လည်း အေးဂျင့်တပ်ဆင်ခြင်းကို မပံ့ပိုးနိုင်သော ကိရိယာများ - ကွန်ရက်ကိရိယာများ၊ ပရင်တာများနှင့် အရံပစ္စည်းများကို စောင့်ကြည့်ခြင်းအတွက် ထိရောက်စေသည်။

Wazuh သည် ရှိပြီးသား OSSEC အေးဂျင့်များကို ပံ့ပိုးပေးပြီး OSSEC မှ Wazuh သို့ ပြောင်းရွှေ့ခြင်းဆိုင်ရာ လမ်းညွှန်မှုများကိုပင် ပံ့ပိုးပေးပါသည်။ OSSEC ကို တက်ကြွစွာ ပံ့ပိုးပေးနေဆဲဖြစ်သော်လည်း၊ Wazuh သည် ဝဘ်အင်တာဖေ့စ်အသစ်၊ REST API၊ ပိုမိုပြီးပြည့်စုံသော စည်းမျဉ်းများနှင့် အခြားတိုးတက်မှုများစွာတို့ကြောင့် OSSEC ၏ ဆက်လက်လုပ်ဆောင်မှုတစ်ခုအဖြစ် ရှုမြင်ပါသည်။

အားသာချက်များ

• လူကြိုက်များသော SIEM OSSEC နှင့် သဟဇာတဖြစ်မှုအပေါ် အခြေခံ၍
• တပ်ဆင်မှုရွေးချယ်စရာအမျိုးမျိုးကို ပံ့ပိုးပေးသည်- Docker၊ ရုပ်သေး၊ စားဖိုမှူး၊ Ansible၊
• AWS နှင့် Azure အပါအဝင် cloud ဝန်ဆောင်မှုများကို စောင့်ကြည့်ခြင်းကို ပံ့ပိုးပေးသည်။
• တိုက်ခိုက်မှုအမျိုးအစားများစွာကို သိရှိနိုင်ရန် ပြည့်စုံသောစည်းမျဉ်းများပါဝင်ပြီး ၎င်းတို့ကို PCI DSS v3.1 နှင့် CIS နှင့်အညီ နှိုင်းယှဉ်နိုင်စေမည်ဖြစ်သည်။
• အဖြစ်အပျက်ကို မြင်ယောင်ထင်မြင်နိုင်စွမ်းနှင့် API ပံ့ပိုးမှုအတွက် Splunk မှတ်တမ်းသိုလှောင်မှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုစနစ်ဖြင့် ပေါင်းစပ်ထားသည်။

ချို့ယွင်းချက်

• ရှုပ်ထွေးသောဗိသုကာပညာ - Wazuh နောက်ခံအစိတ်အပိုင်းများအပြင် Elastic Stack အပြည့်အဝအသုံးပြုမှုလိုအပ်သည်။

အရင်းအမြစ်

Prelude OS

Prelude OSS သည် ပြင်သစ်ကုမ္ပဏီ CS မှ ဖန်တီးထားသော စီးပွားဖြစ် Prelude SIEM ၏ open-source ဗားရှင်းတစ်ခုဖြစ်သည်။ ဖြေရှင်းချက်သည် များစွာသော မှတ်တမ်းဖော်မတ်များကို ပံ့ပိုးပေးသည့် ပြောင်းလွယ်ပြင်လွယ်၊ မော်ဂျူလာ SIEM စနစ်ဖြစ်ပြီး OSSEC၊ Snort နှင့် Suricata ကွန်ရက် ထောက်လှမ်းမှုစနစ်ကဲ့သို့သော ပြင်ပကိရိယာများနှင့် ပေါင်းစည်းမှုတို့ကို ပံ့ပိုးပေးသည်။

ဖြစ်ရပ်တစ်ခုစီကို IDMEF ဖော်မတ်ကို အသုံးပြု၍ မက်ဆေ့ချ်အဖြစ် ပုံမှန်ပြုလုပ်ထားပြီး၊ အခြားစနစ်များနှင့် ဒေတာဖလှယ်မှုကို ရိုးရှင်းစေသည်။ သို့သော် ဆီမွှေးတွင် ယင်ကောင်တစ်ခုရှိသည် - Prelude OSS သည် Prelude SIEM ၏ စီးပွားဖြစ်ဗားရှင်းနှင့် နှိုင်းယှဉ်ပါက စွမ်းဆောင်ရည်နှင့် လုပ်ဆောင်နိုင်စွမ်းတွင် အလွန်အကန့်အသတ်ရှိပြီး ပရောဂျက်ငယ်များအတွက် သို့မဟုတ် SIEM ဖြေရှင်းချက်များကို လေ့လာခြင်းနှင့် Prelude SIEM အကဲဖြတ်ရန်အတွက် ပိုမိုရည်ရွယ်ပါသည်။

အားသာချက်များ

• ၁၉၉၈ ခုနှစ်ကတည်းက တီထွင်ခဲ့သော အချိန်-စမ်းသပ်စနစ်၊
• များစွာသော မှတ်တမ်းပုံစံများကို ပံ့ပိုးပေးသည်။
• ဒေတာကို IMDEF ဖော်မတ်သို့ ပုံမှန်ဖြစ်စေပြီး အခြားလုံခြုံရေးစနစ်များသို့ ဒေတာလွှဲပြောင်းရန် လွယ်ကူစေသည်။

ချို့ယွင်းချက်

• အခြား open-source SIEM စနစ်များနှင့် နှိုင်းယှဉ်ပါက လုပ်ဆောင်နိုင်စွမ်းနှင့် စွမ်းဆောင်ရည်မှာ သိသိသာသာ အကန့်အသတ်ရှိသည်။

အရင်းအမြစ်

Sagan

Sagan သည် Snort နှင့် တွဲဖက်အသုံးပြုနိုင်မှုကို အလေးပေးသော စွမ်းဆောင်ရည်မြင့် SIEM တစ်ခုဖြစ်သည်။ Snort အတွက်ရေးထားသောစည်းမျဉ်းများကိုပံ့ပိုးပေးသည့်အပြင်၊ Sagan သည် Snort ဒေတာဘေ့စ်သို့စာရေးနိုင်ပြီး Shuil interface နှင့်ပင်အသုံးပြုနိုင်ပါသည်။ အခြေခံအားဖြင့်၊ ၎င်းသည် Snort အသုံးပြုသူများအတွက် ဖော်ရွေစွာ ကျန်နေချိန်တွင် အင်္ဂါရပ်အသစ်များကို ပေးဆောင်သည့် ပေါ့ပါးသော Multi-threaded ဖြေရှင်းချက်ဖြစ်သည်။

အားသာချက်များ

• Snort ဒေတာဘေ့စ်၊ စည်းမျဉ်းများနှင့် အသုံးပြုသူ အင်တာဖေ့စ်တို့နှင့် အပြည့်အဝ တွဲဖက်အသုံးပြုနိုင်သည်။
• Multi-threaded architecture သည် မြင့်မားသောစွမ်းဆောင်ရည်ကိုပေးသည်။

ချို့ယွင်းချက်

• သေးငယ်သောအသိုက်အဝန်းတစ်ခုနှင့်အတော်လေးငယ်ရွယ်သောပရောဂျက်တစ်ခု။
• အရင်းအမြစ်မှ SIEM တစ်ခုလုံးကို တည်ဆောက်ခြင်း ပါဝင်သော ရှုပ်ထွေးသော တပ်ဆင်ခြင်းလုပ်ငန်းစဉ်။

အရင်းအမြစ်

ကောက်ချက်

ဖော်ပြထားသော SIEM စနစ်တစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင်ဝိသေသလက္ခဏာများနှင့် ကန့်သတ်ချက်များရှိသောကြောင့် ၎င်းတို့ကို မည်သည့်အဖွဲ့အစည်းအတွက်မဆို universal solution ဟုခေါ်တွင်မည်မဟုတ်ပါ။ သို့သော်၊ ဤဖြေရှင်းနည်းများသည် အခမဲ့အရင်းအမြစ်ဖြစ်ပြီး ၎င်းတို့ကို အသုံးချရန်၊ စမ်းသပ်ခြင်းနှင့် အကဲဖြတ်နိုင်စေမည့် စရိတ်စကများ အလွန်အကျွံမပေးရပါ။

ဘလော့မှာ ဘာများ စိတ်ဝင်စားစရာ ရှိသေးလဲ ဖတ်ကြည့်ပါဦး။ Cloud4Y

→ ဂြိုဟ်တစ်ခုလုံး၏ VNIITE- "smart home" စနစ်အား USSR တွင် တီထွင်ခဲ့ပုံ
→ Neural Interfaces တွေက လူသားတွေကို ဘယ်လိုကူညီပေးမလဲ။
→ ရုရှားစျေးကွက်တွင်ဆိုက်ဘာအာမခံ
→ အလင်း၊ ကင်မရာ... တိမ်- တိမ်တွေက ရုပ်ရှင်လုပ်ငန်းကို ဘယ်လိုပြောင်းလဲ။
→ မိုဃ်းတိမ်၌ဘောလုံး - ဖက်ရှင်သို့မဟုတ်လိုအပ်ချက်?

ကျွန်ုပ်တို့ထံ စာရင်းသွင်းပါ။ ကွေးနနျးစာ-channel သို့သင်နောက်ဆောင်းပါးကိုလက်လွတ်မခံပါနဲ့။ ကျွန်ုပ်တို့သည် တစ်ပတ်လျှင် နှစ်ကြိမ်ထက် ပိုမရေးဘဲ လုပ်ငန်းအတွက်သာ ဖြစ်သည်။

source: www.habr.com